グループ・ルールについて

グループ・ルールは、グループ管理を簡素化し、アプリケーション・アクセス、アプリケーション・ロール、およびセキュリティ・ポリシーの管理に役立ちます。グループ・ルールを使用して、以下を実行できます。

  • 複数のADグループを単一のOktaグループにマッピングする。
  • ユーザー属性に基づいてActive Directory(AD)グループに入力する。
    • ルールは、OktaがADにユーザーとグループをプロビジョニングする「ソースとしてのWorkday(WD)」設定で特に役立ちます。たとえば、WDのコスト・センター属性を使用して、ADグループ・メンバーシップを特定します。
    • ルールでは、OktaグループをADグループにマッピングできます。
    • ルールを使用すると、PowerShellスクリプトを回避できます。
    • ルールは、高価なサード・パーティー製のツールを置き換えることができます。

  • ユーザーをアプリケーションに自動的に割り当てる。

  • アプリケーションの割り当てを管理する。
  • グループの管理を簡素化する。
  • プロビジョニングを自動化する。たとえば、ユーザー・プロファイル属性== Xの場合、ロールZを使用してアプリYをプロビジョニングします。
  • ユーザーを複数のグループに割り当てる。

Oktaグループに自動的に入力するルールを作成できます。たとえば、ユーザーを営業担当グループに手動で追加する代わりに、属性department = "sales"を持つユーザーを営業担当グループに自動的に追加するルールを定義できます。ユーザーのdepartment属性が変更されると、ユーザーは営業担当グループから自動的に削除されます。ルールは、単一または複数の属性、単一または複数のグループ、または属性とグループの組み合わせを使用して作成できます。

グループは通常、Oktaのシングル・サインオン(SSO)アクセスや、特定の権限を持つユーザーをアプリにプロビジョニングするために使用されます。ルールを使用して属性に基づくグループを設定すると、属性ベースのアクセス制御を実現できます。

グループ・ルールの制限は次のとおりです。

  • 組織は最大2,000個のルールを持つことができます。
  • グループ・ルールを使用してユーザーを管理者グループに割り当てることはできません。
  • 文字列属性は基本条件グループのルールでのみ使用できます。
  • すでにグループ・ルールの対象であるグループに管理者権限を付与することはできません。
  • ルールを編集できるのはスーパー管理者と組織管理者のみです。
  • すべてのグループを管理するグループ管理者のみが、ルールを検索して表示することができます。個々のグループ管理者はルールを検索したり表示したりすることはできません。

関連項目

グループ・ルールのベスト・プラクティス

グループ・ルールを作成する